基于威胁情报和ATTCK的攻击溯源方法

摘要

本发明公开了一种基于威胁情报和ATT&CK的攻击溯源方法，利用标签模块，威胁情报库模块，数据预处理模块，ATT&CK处理模块来实现；基于应用场景，先建立标签体系与处理规则的映射关系，预先设定各个攻击行为属性的权重系数，利用标签体系对应数据特征并标识日志文件中的数据；建立开源威胁情报收集查询框架，自动从各种公开资源中收集威胁情报；从攻击者角度，结合高级渗透测试攻击矩阵通过对攻击者的战术、技术及步骤分析，识别出需要优先处理的技术点，最后生成攻击溯源可视化报告。本发明对于传统的日志数据清洗和单一的威胁情报溯源方法进行改进，依据标签配置模块预设规则，提高了信息检索效率，同时便于信息分类和建模。